File Carving

Aus IT-Forensik Wiki

Mittels File Carving lassen sich einzelne Dateifragmente wieder zu einer Datei zusammensetzen selbst dann, wenn die Metadaten nicht mehr vorhanden sind. Es ist somit ein mächtiges Werkzeug zur Wiederherstellung von Dateien und Dateifragmenten bei unlesbaren oder fehlenden Directory-Einträge. Hierzu werden die Rohdaten analysiert und festgestellt um welchen Dateityp es sich handelt bspw. Text, png, mp3… Zu Nutzen macht sich hier der bekannte Aufbau von vielen Datentypen, besonders der Beginn „Header“ und das Ende „Footer“ der File eines Types sind wichtig.

Es gibt einige Open-Source-Werkzeuge welche das Carving automatisieren, z.B. Foremost, Scalpel, Photorec oder Ftimes.


Wiederherstellen von gelöschten Dateien mit Sleuthkit: https://www.linux-magazin.de/ausgaben/2011/03/wider-das-vergessen/